NodeBB まで2.5.7 /register/abort 未知の脆弱性

問題がある として分類されている脆弱性が NodeBB まで2.5.7 内に見つかりました。 影響を受けるのは、ファイル【/register/abort】に含まれる未知の関数です。 未知の値で改ざんすることが、 クロスサイトリクエストフォージェリを突く攻撃に繋がります。 この脆弱性に対応するCWEの定義は CWE-352 です。 この脆弱性は 2022年11月13日ににて 「11017」として 紹介されました。 アドバイザリーは github.com にてダウンロード用に公開されています。 この脆弱性は CVE-2022-3978 として扱われます。 攻撃はリモートで開始される可能性があります。 技術的詳細情報が入手可能です。 入手できるエクスプロイトツールはありません。 エクスプロイトツールの現在の価格はおそらく米ドルで約$0-$5kです。 このエクスプロイトツールは 未定義 として宣言されています。 0dayにはおよそ $0-$5k の価値があったと予想しています。 】のプラグインを提供しています。 バージョン 2.5.8 をアップグレードすることで、この問題に対処できます。 アップグレードされたバージョンは、github.com からダウンロードする準備ができています。 パッチ名は 2f9d8c350e54543f608d3d4c8e1a49bbb6cdea38 です。 バグフィックスは、github.com からダウンロードすることが可能です。 影響を受けているコンポーネントのアップグレードを推奨します。

タイムライン

ユーザー

135

フィールド

vulnerability_cvss3_meta_tempscore2
exploit_price_0day2
vulnerability_cvss3_cna_basescore1
source_cve_cna1
vulnerability_cvss3_cna_a1

Commit Conf

90%35
70%11
50%10

Approve Conf

90%35
70%11
80%10
IDコミット済みユーザーフィールド変更備考承諾済みステータスC
133966162022年12月17日VulD...cvss3_cna_basescore4.3see CVSS documentation2022年12月17日承諾済み
90
133966152022年12月17日VulD...cvss3_meta_tempscore4.2see CVSS documentation2022年12月17日承諾済み
90
133966142022年12月17日VulD...cve_cnaVulDBnvd.nist.gov2022年12月17日承諾済み
70
133966132022年12月17日VulD...cvss3_cna_aNnvd.nist.gov2022年12月17日承諾済み
70
133966122022年12月17日VulD...cvss3_cna_iLnvd.nist.gov2022年12月17日承諾済み
70
133966112022年12月17日VulD...cvss3_cna_cNnvd.nist.gov2022年12月17日承諾済み
70
133966102022年12月17日VulD...cvss3_cna_sUnvd.nist.gov2022年12月17日承諾済み
70
133966092022年12月17日VulD...cvss3_cna_uiRnvd.nist.gov2022年12月17日承諾済み
70
133966082022年12月17日VulD...cvss3_cna_prNnvd.nist.gov2022年12月17日承諾済み
70
133966072022年12月17日VulD...cvss3_cna_acLnvd.nist.gov2022年12月17日承諾済み
70
133966062022年12月17日VulD...cvss3_cna_avNnvd.nist.gov2022年12月17日承諾済み
70
133966052022年12月17日VulD...price_0day$0-$5ksee exploit price documentation2022年12月17日承諾済み
90
133966042022年12月17日VulD...cve_nvd_summaryA vulnerability, which was classified as problematic, was found in NodeBB up to 2.5.7. This affects an unknown part of the file /register/abort. The manipulation leads to cross-site request forgery. It is possible to initiate the attack remotely. Upgrading to version 2.5.8 is able to address this issue. The name of the patch is 2f9d8c350e54543f608d3d4c8e1a49bbb6cdea38. It is recommended to upgrade the affected component. The associated identifier of this vulnerability is VDB-213555.cve.mitre.org2022年12月17日承諾済み
70
133966032022年12月17日VulD...cve_assigned1668294000 (2022年11月13日)cve.mitre.org2022年12月17日承諾済み
70
132614032022年11月13日VulD...price_0day$0-$5ksee exploit price documentation2022年11月13日承諾済み
90
132614022022年11月13日VulD...cvss3_meta_tempscore4.1see CVSS documentation2022年11月13日承諾済み
90
132614012022年11月13日VulD...cvss3_meta_basescore4.3see CVSS documentation2022年11月13日承諾済み
90
132614002022年11月13日VulD...cvss3_vuldb_tempscore4.1see CVSS documentation2022年11月13日承諾済み
90
132613992022年11月13日VulD...cvss3_vuldb_basescore4.3see CVSS documentation2022年11月13日承諾済み
90
132613982022年11月13日VulD...cvss2_vuldb_tempscore4.4see CVSS documentation2022年11月13日承諾済み
90

36 非表示のエントリあり

Do you want to use VulDB in your project?

Use the official API to access entries easily!